В последнее время появляется очень много сообщений о том, что мошенники тем или иным способом получают доступ к аккаунтам на портале «Госуслуги», выманивая у жертвы код из SMS.
Между тем, решить эту проблему можно довольно просто.
Вся схема держится на том, что в качестве логина используется тот же номер телефона, на который и приходит SMS. Этот код злоумышленники и выманивают у жертвы.
Такой метод доступа, безусловно, удобен для пользователей, так как свой номер телефона помнят все.
Однако если отказаться от использования номеров телефонов в качестве логинов, заменив их на случайные идентификаторы (на адреса электронной почты переходить не стоит — их тоже легко получить), то работа по данной схеме резко усложнится. Мошенникам нужно будет не просто выманить SMS-код, но и сначала узнать сам логин, который не будет совпадать с номером
телефона.
Можно рассмотреть компромиссный вариант, когда к номеру телефона в качестве логина добавляется несколько случайных цифр — по аналогии с CVC-кодом на кредитной карте.
Три дополнительные цифры достаточно просто запомнить. А перебор (брутфорс) эффективно блокируется уже отработанными процедурами: установкой минимального интервала между попытками ввода с его увеличением после нескольких неудач.
Конечно, система не должна сообщать, введен ли правильный "CVC для госуслуг" или нет. Просто должно появляться поле для ввода кода из SMS.
P.S.
Я далек от мысли, что это на 100% решит проблему. Сто процентной защиты
не существует в принципе. Есть лишь параметры времени и денег, которые
требуются для преодоления той или иной системы безопасности.
Комментарии
Зачем так просто, когда можно
попилитьсложно.Всё решается очень просто - надо убрать возможность восстановления логина или пароля в диалоге по телефону с использованием СМС
Забыли - топайте ножками в МФЦ и восстанавливайте.
И всё. Мошенникам вход закрыт
Есть ещё более простой способ. Не регистрироваться на госуслугах.
Помогает от мошенников - 100 процентов.
ага, гильотина - лучшее средство от перхоти
Гильотину не пробовал, да и перхотью как бы - не обзавёлся. А вот на госуслугах меня нет, посему ответственно подтверждаю, что злоумышленникам с этой стороны ко мне не подобраться от слова никак..
Опять клоуны из цирка разбежались. Лютую дичь гонят, идиоты.
какие у вас проблемы своеобразные... а вы кто сторож?
Поздравляю! Ты изобрёл многофакторную авторизацию. Правда оно запатентовано ещё в прошлом тысячелетии, но ты не расстраивайся.
поздравляю, ты дебил
проблема не многофакторности, а в том что факторы завязаны на один параметр
ты этого не понял, но не расстраивайся... и для дебилов в стране найдется применение
Есть еще более простой способ, когда СМС с кодом приходит не к жертве мошенников, а его доверенному лицу.
Ну то есть к примеру жулики разводят по телефону вашу маму/бабушку, но смс с кодом приходит не к ним на телефон, а к вам. И вы уже в курсе что разводят ваших близких.
Собственно, это уже и сделано на ГУ. Рекомендую воспользоваться.
Это имеет смысл по отдельной процедуре, например по заявлению родственников в случае престарелых родителей и тд
а во всех случаях это и не удобно и не всегда осуществимо
Что за отдельная процедура? Верификация доверенного лица? Ну да, стоит потратить полчаса, зайти в сбербанк с бабушкой и подтвердить себя. Но это стоит того.
Отныне все СМС с кодами будешь получать ты, а не твоя бабушка. Делается элементарно, один раз и навсегда. И без твоего ведома/согласия не пройдет ничего от имени бабушки на госуслугах
Нет ничего проще и удобнее. И надежнее.
у меня никто никогда никакой "код из смс" не выманивал
что я делаю не так?
ну что тут сказать... скорее всего в школе ты все делал не так...по этому таким дураком и вырос...
А вот и "внушающий" отписался 😁
Вы просто не попадаете в тот самый "список людей" поддающиеся внешнему внушению. С чем собственно вас и поздравляю. Вы адекватный человек.
Я тоже всего этому удивляюсь, бл% КАК МОЖНО КОМУ-ТО ЛЕВОМУ что-то личное из СМС сообщать...?
На каждом заборе эта информация есть, но нет, постоянно что-то , где-то , как-то миллионы переводятся... Удивительно..
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.